Aktivitätsregeln erstellen und verwalten

Benachrichtigungen einrichten und Maßnahmen ergreifen

Als Administrator können Sie in der Admin-Konsole Aktivitätsregeln einrichten, um Benachrichtigungen zu senden oder Maßnahmen zu ergreifen, wenn in Ihrer Domain Aktivitäten stattfinden. Mit Aktivitätsregeln lassen sich Sicherheitsprobleme schneller und effizienter verhindern, erkennen und beheben.

Zum Konfigurieren einer Regel richten Sie Bedingungen ein und legen fest, welche Benachrichtigungen gesendet oder welche Aktionen ausgeführt werden sollen, wenn diese Bedingungen erfüllt sind. Im Prinzip bedeutet eine Regel: Wenn x geschieht, soll automatisch y folgen.

Google führt die in der Aktivitätsregel angegebene Suche kontinuierlich aus. Übersteigt die Anzahl der Suchergebnisse den von Ihnen bestimmten Schwellenwert, werden die festgelegten Benachrichtigungen gesendet und Aktionen ausgeführt. So können Sie z. B. angeben, dass bestimmte Administratoren benachrichtigt werden, wenn Google Drive-Dateien außerhalb der Organisation freigegeben werden.

Hinweis

Ob und wie Sie Aktivitätsregeln erstellen und aufrufen können, hängt von Ihrer Google Workspace-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Weitere Informationen finden Sie im Hilfeartikel Administratorzugriff auf Berichts- und Aktivitäts regeln.

Funktionen für alle Versionen

  • Aktivitätsregeln auf der Seite „Regeln“ oder im Audit- und Prüftool aufrufen
  • UND-Filter mit bis zu fünf Bedingungen (ohne verschachtelte Bedingungen)

Erweiterte Funktionen

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Standard und Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion; Chrome Enterprise Premium. Versionen vergleichen
  • Aktivitätsregeln über das Sicherheitsprüftool aufrufen
  • ODER-Filter
  • Aktionen in Triggern festlegen
  • Schwellenwerte für Trigger festlegen
  • Mehr als fünf Bedingungen in einer Regel festlegen
  • Verschachtelte Bedingungen
  • Benachrichtigung erhalten, wenn ein Ereignis eintritt

Wichtige Richtlinien zum Erstellen von Aktivitätsregeln

  • Sie können Aktivitätsregeln nur auf der Grundlage von Ereignisdatenquellen für Protokolle erstellen, z. B. Gmail-Protokollereignisse oder Geräteprotokollereignisse. Es können dagegen keine Aktivitätsregeln definiert werden, die auf Livestatus-Datenquellen basieren, z. B. Chrome-Browser, Geräte, Gmail-Nachrichten und Nutzer.
  • Welche Datenquellen verfügbar sind, hängt von Ihrer Google Workspace-Version ab. Weitere Informationen finden Sie im Hilfeartikel Eine Suche im Sicherheitsprüftool ausführen.
  • Sie müssen der Suche mindestens ein Ereignisattribut hinzufügen.
  • Sie können einen ODER-Operator auf oberster Ebene nur verwenden, wenn Sie in jedem Pfad der Bedingung eine Ereignisbedingung angeben.
  • Sie können nur einen Wert für das Attribut hinzufügen. Beispielsweise kann „Akteur“ nur einen Nutzer enthalten. Wenn Sie mehrere Werte einbeziehen möchten, fügen Sie mit dem Tool zur Bedingungserstellung einen ODER-Operator hinzu. Fügen Sie dann dasselbe Attribut mit einem zusätzlichen Wert hinzu.
  • Bei Aktivitätsregeln sind keine Datumsfilter zulässig, da die Regeln kontinuierlich ausgewertet werden.
  • Sie müssen der Regel mindestens eine Aktion oder Benachrichtigung hinzufügen.
  • Da Aktivitätsregeln auf Protokollereignissen basieren, werden sie ausgelöst, nachdem das Ereignis eingetreten ist. Aus diesem Grund sind Aktivitätsregeln nicht dafür geeignet, Dokumente zu sperren oder freizugeben oder E-Mails zu senden.

E-Mail-Benachrichtigungen

Wenn Sie E-Mail-Benachrichtigungen für Ihre Regel einrichten, sendet die Aktivitätsregel beim ersten Auslösen der Regel eine Benachrichtigungs-E-Mail pro Schwellenwertfenster. Bei den anderen Auslösungen der Regel werden keine Benachrichtigungen gesendet. Die E-Mail-Benachrichtigung enthält eine Übersicht über die Regel, die die Benachrichtigung ausgelöst hat, u. a. den Regelnamen, Details zum Schwellenwert und Angaben zu den Quelldaten. Administratoren können darin auf Benachrichtigung anzeigen klicken und so die Seite Benachrichtigungsdetails in der Benachrichtigungszentrale aufrufen.

Regelschwellenwerte und Benachrichtigungen

Um die Anzahl der Benachrichtigungen zu minimieren, können Sie Regeln mit Schwellenwerten erstellen, die Benachrichtigungen nur auslösen, wenn das Ereignis in einem bestimmten Zeitraum mehr als eine bestimmte Anzahl von Malen auftritt. Wenn ein Ereignis beispielsweise zum ersten Mal eine Regel auslöst, wird in der Benachrichtigungszentrale eine neue Benachrichtigung hinzugefügt und eine E-Mail gesendet (falls für die Regel konfiguriert). Wenn die Regel einen Schwellenwert von einer Stunde hat, werden zusätzliche Ereignisse innerhalb dieses Zeitraums derselben Benachrichtigung hinzugefügt. Weitere E-Mail-Benachrichtigungen werden erst gesendet, wenn die Schwellenwertzeit überschritten wird.

Wenn Sie einen Schwellenwert für eine Regel festlegen, wird er kumulativ auf alle Nutzeraktionen angewendet, nicht auf einzelne Nutzer. Wenn Sie beispielsweise eine Regel erstellen, mit der Nutzer nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Stunde gesperrt werden, wird der Schwellenwert erreicht, wenn bei einem oder mehreren Nutzern innerhalb einer Stunde fünf fehlgeschlagene Anmeldeversuche unternommen werden. In diesem Fall werden alle Nutzer mit mindestens einem fehlgeschlagenen Versuch gesperrt.

Hinweise :

  • E-Mails und Benachrichtigungen, die durch eine Regel mit einem Schwellenwert ausgelöst werden, enthalten keine Ereignisbeschreibung.
  • Aktivitätsregeln können nur so konfiguriert werden, dass E-Mails an interne Domainnutzer gesendet werden. Administratoren können jedoch weiterhin externe E-Mail-Benachrichtigungen mit Google Groups konfigurieren.
  • Sie können übermäßige Benachrichtigungen vermeiden, indem Sie sie über eine Stunde verteilen.

Aktivitätsregel erstellen

  1. Erstellen Sie eine Regel (alle Google Workspace-Versionen) mit einer der folgenden Methoden:
    • Klicken Sie auf der Startseite der Admin-Konsole auf Regeln und dann auf Aktivitätsregel erstellen.
    • Oder gehen Sie zu Berichterstellung und dann Audit und Prüfung und dann wählen Sie eine Datenquelle und dann Aktivitätsregel erstellen.
    • Wenn Sie das Sicherheitsprüftool haben, rufen Sie Sicherheit und dann Sicherheitscenter und dann Prüftool auf und klicken Sie dann auf Aktivitätsregel erstellen.
  2. Geben Sie die Regeldetails ein und klicken Sie auf Weiter:
    • Regelname, z. B. Externe Datenfreigabe.
    • Beschreibung, z. B. Benachrichtigen, wenn Dokumente außerhalb der Organisation freigegeben werden

  3. Legen Sie auf der Seite Bedingungen fest, wann die Regel ausgelöst werden soll:

    1. Wählen Sie eine Datenquelle für die Regel aus, z. B. Administrator-Protokollereignisse.

      Hinweis: Die Verfügbarkeit von Datenquellen hängt von Ihrer Google Workspace-Version und von Ihren Administratorberechtigungen ab. Sie können keine Aktionen für Drive-Protokollereignisse hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Administratorzugriff auf Aktivitätsregeln und Datenquellen für das Sicherheitsprüf tool.

    2. Klicken Sie auf den Tab Filter , um die Suchergebnisse mit einfachen Parametern wie Enthält , Enthält nicht , Ist oder Ist nicht zu filtern.

    3. Klicken Sie auf den Tab Tool zur Bedingungserstellung , um die Suchergebnisse mit UND- bzw. ODER-Operatoren zu filtern. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

      Beispielsweise wählen Sie für eine Bedingung, mit der als Ereignis die Übertragung der Eigentümerschaft des Dokuments angegeben wird, Ereignis als Attribut, Ist als Operator und Dokumenteinstellungen > Eigentümerschaft an Dokumenten übertragen als Wert aus.

      Hinweis:Ereignis ist eine erforderliche Bedingung. Weitere Informationen zu den verfügbaren Bedingungen für jede Datenquelle finden Sie im Hilfeartikel Datenquellen für das Sicherheitsprüftool.

    4. Klicken Sie auf Bedingung hinzufügen , um weitere Bedingungen hinzuzufügen, oder klicken Sie auf Weiter.

  4. (Erweiterte Funktion) Wählen Sie eine Option aus:

    • Jedes Mal, wenn das Ereignis eintritt: Benachrichtigungen senden und/oder Aktionen ausführen wenn das Ereignis eintritt.
    • Wenn die Häufigkeit des Ereignisses einen bestimmten Schwellenwert erreicht— Wählen Sie die Optionen aus, um Benachrichtigungen und/oder Aktionen auszulösen, wenn das Ereignis in einem bestimmten Zeitraum mehr als eine bestimmte Anzahl von Malen auftritt. Beispiel: Wenn das Ereignis mehr als zehn Mal in einer Stunde auftritt.

  5. (Erweiterte Funktion) Klicken Sie auf Aktion hinzufügen , um eine Aktion auszuführen, wenn das Ereignis eintritt oder der Schwellenwert überschritten wird.

    • Beispiel: Nutzer sperren oder eine Passwortänderung erzwingen, wenn das Ereignis eintritt.
    • Klicken Sie auf Aktion hinzufügen , um weitere Aktionen zu erstellen.

  6. Wählen Sie unter Benachrichtigung die Optionen aus:

    • Benachrichtigungszentrale : (Empfohlen) Eine Benachrichtigung an die Benachrichtigungszentrale senden. Benachrichtigungen enthalten detaillierte Informationen, damit Sie bei Problemen Maßnahmen ergreifen und diese Probleme gemeinsam mit anderen Administratoren in Ihrer Organisation lösen können.
    • E-Mail : E-Mail-Benachrichtigungen senden an:
    • Alle Super Admins: E-Mails an alle Super Admins senden.
    • E‑Mail-Empfänger hinzufügen : E‑Mails an ausgewählte Administratoren senden.
    • Benachrichtigungshäufigkeit: Anzahl der Benachrichtigungen (Benachrichtigungen und E-Mails), die pro Stunde für dasselbe Ereignis gesendet werden. Sie können Benachrichtigungen über die Stunde verteilen oder eine Benachrichtigung erhalten, wenn das Ereignis eintritt. Mit dieser Einstellung lassen sich übermäßige Benachrichtigungen für dasselbe Ereignis vermeiden. Wählen Sie eine Option aus:
    • Bis zu 5 pro Stunde (Standardeinstellung): Sie erhalten jede Stunde alle 12 Minuten eine Benachrichtigung.
    • Bis zu 2 pro Stunde : Sie erhalten jede Stunde alle 30 Minuten eine Benachrichtigung.
    • Bis zu 10 pro Stunde : Sie erhalten jede Stunde alle 6 Minuten eine Benachrichtigung.
    • Jedes Mal, wenn das Ereignis eintritt (falls in Ihrer Version verfügbar).
    • Schweregrad : Der Schweregrad, der für das Ereignis angezeigt wird.

  7. Wählen Sie den Regelstatus aus.

    • Aktiv (Standardeinstellung): Das System erfasst Protokolle und die Regeln werden erzwungen.
    • Prüfen : Das System erfasst Protokolle, die Regeln werden aber nicht erzwungen. Mit dieser Option können Sie Protokolle prüfen, bevor die Regel erzwungen wird.
    • Inaktiv: Protokolle werden nicht erfasst und die Regel wird nicht erzwungen.

  8. Klicken Sie auf Weiter. Prüfen Sie die Regeldetails. Klicken Sie bei Bedarf auf Zurück , um Änderungen vorzunehmen.

  9. Klicken Sie auf Regel erstellen.

Aktivitätsregeln aufrufen und bearbeiten

Nachdem Sie eine Aktivitätsregel erstellt haben, können Sie auf der Seite Regeln die Details, den Geltungsbereich und die Bedingungen der Regel sowie die Aktionen einsehen, die bei erreichten Schwellenwerten ausgelöst werden.

Auf der Seite „Regeln“ finden Sie auch eine Liste aller Regeln, die von Administratoren in Ihrer Domain erstellt wurden. Rufen Sie dazu die Startseite der Admin-Konsole auf und klicken Sie auf Regeln.

Auf der Seite „Regeln“ sehen die Administratoren Ihrer Domain auch die Regeln, die von anderen Administratoren erstellt wurden. Was dabei im Einzelnen angezeigt wird, hängt von der Datenquelle der Regel und den jeweiligen Berechtigungen ab. Ist ein Administrator beispielsweise berechtigt, Protokollereignisse für Drive einzusehen, aber nicht für Gmail, werden diese Regeln ausgeblendet.

Auf der Seite „Regeln“ sind folgende Aktionen möglich:

  • Regelliste durch Klicken auf Filter hinzufügen filtern
  • Regeldetails aufrufen und bearbeiten, indem Sie auf eine der Regeln klicken
  • Regeln löschen
  • Neue Regeln erstellen
  • Klicken Sie auf Untersuchen , um das Prüftool zu öffnen und Daten aus den Ereignissen im Regelprotokoll aufzurufen.